Діру в безпеці знайшли ще у лютому, присвоївши їй ідентифікатор CVE-2022-28799. Весь цей час TikTok виправляв проблему.
Цікаво TikTok планує запустити власний музичний сервіс і позмагатися з іншими гігантами індустрії
Що відомо
Уразливість полягала в тому, як програма перевіряла те, що називається "глибокими посиланнями" – специфічні для Android гіперпосилання для доступу до окремих компонентів мобільного додатка. Глибокі посилання, наприклад, використовуються для того, щоб у того, хто натискає на посилання TikTok в браузері, вміст автоматично відкривався в додатку. TikTok дозволяє вміст з tiktok.com бути завантаженим в його компонент WebView, але забороняє WebView завантажувати вміст з інших доменів.
Вразливість дозволила обійти глибоку перевірку посилань програми. Хакери можуть змусити додаток завантажувати довільну URL-адресу в WebView програми, що дозволить URL-адресі потім отримати доступ до підключених мостів JavaScript WebView і надати функціональність зловмисникам,
– пишуть дослідники.
- Спеціалістам Microsoft далося створити спеціальну програму (експлойт) для використання цього багу.
- Це передбачало надсилання цільовому користувачеві TikTok зловмисного посилання, яке при натисканні отримувало маркери автентифікації, які вимагають сервери TikTok, щоб користувачі підтвердили право власності на свій обліковий запис.
- Після цього вони отримали повний доступ до мосту JavaScript і змогли використовувати будь-яку функціональність.
- Наприклад, програма автоматично змінювала біографію тестового користувача на "!!ПОРУШЕННЯ БЕЗПЕКИ!!".
Microsoft заявила, що не має доказів того, що вразливість активно використовувалася хакерами.